5、审计与报警 审计与报警机制主要作用有两方面,一是 对入侵者起到威慑作用,由于怕被防火墙 记录入侵踪迹,使入侵者视为畏途;二是 审计记录为管理人员提供了入侵分析资料, 以判别防火墙的安仝策略的设计与系统配 置上是否有安全漏洞,以便改进
5、 审计与报警 • 审计与报警机制主要作用有两方面,一是 对入侵者起到威慑作用,由于怕被防火墙 记录入侵踪迹,使入侵者视为畏途;二是 审计记录为管理人员提供了入侵分析资料, 以判别防火墙的安全策略的设计与系统配 置上是否有安全漏洞,以便改进
6.3,2防火墙类型与原理 按防火墙工作在网络中的层次为依据,则 防火墙分为两大类,即网络层防火墙和应 用层防火墙。网络层防火墙主要类型有过 滤路由器、过滤主机防火墙、过滤子网防 火墙;应用层防火墙主要类型有代理服务 器主机防火墙、双宿网关防火墙和电路网 关防火墙
6.3.2 防火墙类型与原理 • 按防火墙工作在网络中的层次为依据,则 防火墙分为两大类,即网络层防火墙和应 用层防火墙。网络层防火墙主要类型有过 滤路由器、过滤主机防火墙、过滤子网防 火墙;应用层防火墙主要类型有代理服务 器主机防火墙、双宿网关防火墙和电路网 关防火墙
防火墙分类(体系结构) 简单过滤路由器 网络层 堡垒主机防火墙 防火墙 过滤主机防火墙 过滤子网防火墙 代理服务器主机防火墙 应用层 防火描>双宿网关防火墙 电路网关
防火墙分类(体系结构) ➢简单过滤路由器 ➢堡垒主机防火墙 ➢过滤主机防火墙 ➢过滤子网防火墙 ➢代理服务器主机防火墙 ➢双宿网关防火墙 ➢电路网关 网络层 防火墙 应用层 防火墙
网络层防火墙 网络层防火墙工作在P包一级,对P包进彳 处理而达到流量控制的目的。网络层防火 墙至少有一个到非信任网络的P接口和一个 到可信网络的IP接口。它利用自身设置的访 问控制策略对进网和出网的I数据包进行分 析,从而达到流量过滤的目的
一、 网络层防火墙 • 网络层防火墙工作在IP包一级,对IP包进行 处理而达到流量控制的目的。网络层防火 墙至少有一个到非信任网络的IP接口和一个 到可信网络的IP接口。它利用自身设置的访 问控制策略对进网和出网的IP数据包进行分 析,从而达到流量过滤的目的
下面是网络层防火墙的一个简单包过滤策略 示例 (1)禁止可信网络内部地址从121.23.67.100到 121.2367200的主机访问 Internet; (2)允许地址从121.236750~121236799的主机访 问 Internet; ·(③3)防火墙利用上述两点访问控制策略,对发来和 发出的P数据包进行检测,符合规定的P包被允 许发送到 Internet上去;而不符合规定的IP包被丢 弃: 4)向被丢弃包的P源地址处回发状态信息,并且 在日志文件中记录企图进行非授权的登录
下面是网络层防火墙的一个简单包过滤策略 示例: • (1) 禁止可信网络内部地址从121.23.67.100到 121.23.67.200的主机访问Internet; • (2) 允许地址从121.23.67.50~121.23.67.99的主机访 问Internet; • (3) 防火墙利用上述两点访问控制策略,对发来和 发出的IP数据包进行检测,符合规定的IP包被允 许发送到Internet上去;而不符合规定的IP包被丢 弃; • (4) 向被丢弃包的IP源地址处回发状态信息,并且 在日志文件中记录企图进行非授权的登录